Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner2.56150
Добавлен в вирусную базу Dr.Web:
2019-08-07
Описание добавлено:
2019-08-09
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'w' = '"%TEMP%\MUNYNAYDANRZMN1XIXDA1KPFNKN8DDME..EXE"'
Создает или изменяет следующие файлы
Создает следующие сервисы
[<HKLM>\System\CurrentControlSet\Services\WindowsInput] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\WindowsInput] 'ImagePath' = '"<SYSTEM32>\WindowsInput.exe"'
Изменения в файловой системе
Создает следующие файлы
%TEMP%\4swnr7bawirhmhachask78mxow751q5x..exe
%TEMP%\yna3yig1.dll
%TEMP%\res4.tmp
%TEMP%\csc3.tmp
%TEMP%\yna3yig1.out
%TEMP%\yna3yig1.cmdline
%TEMP%\yna3yig1.0.cs
%ProgramFiles%\s\s.exe.config
%ProgramFiles%\s\s.exe
<SYSTEM32>\windowsinput.installstate
%TEMP%\og.exe
<SYSTEM32>\windowsinput.exe.config
%TEMP%\b2ds25jg.dll
%TEMP%\res2.tmp
%TEMP%\csc1.tmp
%TEMP%\b2ds25jg.out
%TEMP%\b2ds25jg.cmdline
%TEMP%\b2ds25jg.0.cs
%TEMP%\zxopg9caxi6a3rh8fjrg3ztcvonqoyui..exe
%TEMP%\xgcxxdowaeveabqhn9cscp8oreinfvif..exe
%TEMP%\munynaydanrzmn1xixda1kpfnkn8ddme..exe
<SYSTEM32>\windowsinput.exe
%APPDATA%\subdir\s.exe
Присваивает атрибут 'скрытый' для следующих файлов
%ProgramFiles%\s\s.exe
%APPDATA%\subdir\s.exe
Удаляет следующие файлы
%TEMP%\res2.tmp
%TEMP%\csc1.tmp
%TEMP%\b2ds25jg.cmdline
%TEMP%\b2ds25jg.0.cs
%TEMP%\b2ds25jg.out
%TEMP%\b2ds25jg.dll
%TEMP%\res4.tmp
%TEMP%\csc3.tmp
%TEMP%\yna3yig1.dll
%TEMP%\yna3yig1.0.cs
%TEMP%\yna3yig1.cmdline
%TEMP%\yna3yig1.out
%TEMP%\og.exe
Подменяет следующие файлы
Сетевая активность
UDP
DNS ASK ip##pi.com
DNS ASK pt###p.mypi.co
DNS ASK fr###eoip.net
DNS ASK my######tblock.001www.com
DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
'%TEMP%\4swnr7bawirhmhachask78mxow751q5x..exe'
'%TEMP%\munynaydanrzmn1xixda1kpfnkn8ddme..exe'
'%TEMP%\xgcxxdowaeveabqhn9cscp8oreinfvif..exe'
'%TEMP%\zxopg9caxi6a3rh8fjrg3ztcvonqoyui..exe'
'<SYSTEM32>\windowsinput.exe' --install
'<SYSTEM32>\windowsinput.exe'
'%ProgramFiles%\s\s.exe'
'%APPDATA%\subdir\s.exe'
'%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\b2ds25jg.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\yna3yig1.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%TEMP%\CSC3.tmp"' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\b2ds25jg.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
'%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\yna3yig1.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%TEMP%\CSC3.tmp"
'<SYSTEM32>\schtasks.exe' /create /tn "w" /sc ONLOGON /tr "%TEMP%\MUNYNAYDANRZMN1XIXDA1KPFNKN8DDME..EXE" /rl HIGHEST /f
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK